こんにちは, ritouです. ツールバーがブラウザがアクセスしたURLをごっそり収集する場合, 「"セッションIDを埋め込んであるURL"を収集することでなりすましの可能性がある」ことはご存知でしょうか? OAuth 2.0でもあれだなーと誰でも気づくことをさくっと残しておきましょう。 いいたいのはこれだけ OAuth 2.0でredirect_uriに戻される際のURLを収集されると, Implicit Grantのアクセストークン持っていかれる これを言いたいだけです. Authorization Responseにはフラグメント部分(location.hash)にAccess Tokenがついています. http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&exp